Das Verständnis der Cookie-Gesetzgebung und die Implementierung effektiver Lösungen für die Verwaltung von Einwilligungen sind für jede Website von entscheidender Bedeutung geworden. Dieser Leitfaden befasst sich mit den Unterschieden zwischen den europäischen und den US-amerikanischen Vorschriften, analysiert die Funktionsweise des Google-Zustimmungsmodus und vergleicht die wichtigsten Lösungen für das Zustimmungsmanagement.
Das Verständnis der Cookie-Gesetzgebung und die Implementierung effektiver Lösungen für die Verwaltung von Einwilligungen sind für jede Website von entscheidender Bedeutung geworden. Dieser Leitfaden befasst sich mit den Unterschieden zwischen den europäischen und den US-amerikanischen Vorschriften, analysiert die Funktionsweise des Google-Zustimmungsmodus und vergleicht die wichtigsten Lösungen für das Zustimmungsmanagement mit den neuesten Updates bis 2025.
In Europa werden der Schutz personenbezogener Daten und der Online-Datenschutz hauptsächlich durch zwei Rechtsvorschriften geregelt:
Die DSGVO, die 2018 in Kraft tritt, stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten und legt grundlegende Prinzipien fest:
Für die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Online-Kennungen wie Cookies) ist eine gültige Rechtsgrundlage wie Ihre ausdrückliche Zustimmung, ein berechtigtes Interesse oder eine vertragliche Verpflichtung erforderlich.
Verstöße gegen die Datenschutz-Grundverordnung können sehr hohe Strafen nach sich ziehen, die bis zu 4 % des weltweiten Umsatzes eines Unternehmens betragen können.
Die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG, geändert 2009) befasst sich speziell mit dem Datenschutz in der elektronischen Kommunikation, einschließlich der Verwendung von Cookies und Tracking-Technologien.
Artikel 5 Absatz 3 der Richtlinie besagt, dass die vorherige Zustimmung des Nutzers eingeholt werden muss, bevor Informationen auf seinem Gerät gespeichert oder abgerufen werden, vorbehaltlich von Ausnahmen (z. B. unbedingt erforderliche technische Cookies).
In der Praxis bedeutet dies, dass die europäischen Websites:
Die europäischen Datenschutzbehörden haben Verstöße aktiv geahndet: So hat die französische CNIL zwischen 2020 und 2022 Geldstrafen gegen Google und Amazon verhängt, weil diese ohne gültige Zustimmung Tracking-Cookies hinterlegt haben.
Im März 2024 trat das EU-Gesetz über digitale Märkte (DMA) in Kraft, das die Zustimmungsanforderungen für große Technologieplattformen weiter verschärft und sich erheblich auf das Cookie- und Tracking-Management auswirkt. Dies hat Unternehmen wie Google dazu veranlasst, ihre Lösungen für das Einwilligungsmanagement zu aktualisieren.
Im Februar 2025 hat die EU-Kommission ihren Vorschlag für eine neue Datenschutzverordnung für elektronische Kommunikation offiziell zurückgezogen, so dass die bestehende Richtlinie weiterhin in Kraft bleibt. Dies bedeutet, dass die Zustimmungsanforderungen für Cookies unverändert bleiben, weiterhin verbindlich sind und europaweit streng durchgesetzt werden.
Der Europäische Gerichtshof fällte im März 2024 ein bedeutendes Urteil in der Rechtssache IAB TCF, das wichtige Auswirkungen auf die Umsetzung des Rahmens für Transparenz und Zustimmung hat, die die Unternehmen noch nicht verarbeitet haben.
Anders als in der EU gibt es in den USA kein allgemeines Bundesgesetz zum Datenschutz, das mit der DSGVO vergleichbar wäre. Die Regulierung erfolgt auf bundesstaatlicher und sektoraler Ebene, wobei es in den letzten Jahren erhebliche Entwicklungen gegeben hat.
Das 2020 in Kraft getretene CCPA wurde durch das CPRA (in Kraft seit 2023) verstärkt, wodurch es dem europäischen Modell noch näher kommt.
Die CPRA hat:
Zwischen 2023 und 2025 hat sich die Datenschutzlandschaft in den Vereinigten Staaten rasant entwickelt:
Ab Januar 2025 verfügen bereits 20 US-Bundesstaaten über umfassende Datenschutzgesetze, und acht neue Gesetze werden 2025 in Kraft treten. Dies bedeutet, dass etwa 40 Prozent der US-Verbraucher jetzt Rechte auf digitalen Datenschutz haben. Die Fragmentierung der Rechtsvorschriften stellt jedoch eine große Herausforderung für Unternehmen dar, die sich zwischen oft ähnlichen, aber nicht identischen Anforderungen zurechtfinden müssen.
Kalifornien bleibt an vorderster Front, wobei die CPPA in den Jahren 2024-2025 besonders aktiv ist. Die Behörde verhängte mehrere erhebliche Strafen, darunter eine Geldstrafe in Höhe von 6,75 Mio. USD gegen ein Cloud-Software-Unternehmen im Jahr 2024. Außerdem hat sie neue Verordnungsvorschläge zu Cybersicherheit, Risikobewertungen und automatisierten Entscheidungstechnologien (ADMT) veröffentlicht, zu denen die Öffentlichkeit bis Juni 2025 Stellung nehmen kann.
Zu den wichtigsten Entwicklungen im Bereich der Cookie-Verwaltung gehört, dass Kalifornien die Definition von "sensiblen personenbezogenen Daten" um "neuronale Daten" (Informationen, die durch die Messung der Aktivität des Nervensystems erzeugt werden) erweitert und klargestellt hat, dass personenbezogene Daten auch digitale und abstrakte Formate umfassen, wie sie beispielsweise von künstlicher Intelligenz erzeugt werden.
Delaware hat ein Datenschutzgesetz verabschiedet, das im Gegensatz zu anderen Gesetzen gemeinnützige Organisationen und akademische Einrichtungen nicht von seinem Geltungsbereich ausnimmt, wodurch sein Anwendungsbereich erheblich erweitert wird.
Anders als in der EU basiert das US-Modell nach wie vor in erster Linie auf dem Opt-out und nicht auf der vorherigen Zustimmung. Eine US-Website, die EU-Nutzer bedient, muss daher für diese Nutzer ein GDPR-konformes Banner einrichten, während sie für US-Nutzer einfach einen Hinweis und einen Opt-out-Link anzeigen könnte, ohne Cookies im Voraus zu blockieren.
Das Interactive Advertising Bureau (IAB) Europe hat das Transparency & Consent Framework (TCF) als Industriestandard entwickelt, um Unternehmen bei der Verwaltung der Nutzerzustimmung in Übereinstimmung mit der Datenschutz-Grundverordnung (GDPR) und der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) zu unterstützen, was insbesondere im Zusammenhang mit digitaler Werbung relevant ist.
Der TCF wurde bereits mehrfach überarbeitet:
Mit TCF v2.2 wurden wichtige Änderungen eingeführt:
Im April 2025 haben das IAB Tech Lab und das IAB Europe die technische Spezifikation TCF v2.3 zur öffentlichen Kommentierung freigegeben; die Kommentierungsfrist läuft bis zum 19. Mai 2025. Die Aktualisierung zielt darauf ab, mehr Klarheit für Anbieter in bestimmten Szenarien zu schaffen, in denen es unklar ist, ob Daten an den Nutzer weitergegeben wurden, was besonders wichtig ist, wenn ein Anbieter beabsichtigt, Daten für besondere Zwecke auf der Grundlage eines berechtigten Interesses zu verarbeiten.
Der Zeitplan für TCF v2.3 umfasst:
Um Websites und Werbetreibenden zu helfen, die Entscheidungen der Nutzer zu respektieren, hat Google den Zustimmungsmodus eingeführt, eine technische Lösung, die das Verhalten von Google-Tags entsprechend dem Zustimmungsstatus der Nutzer anpasst.
Im November 2023 führte Google den Zustimmungsmodus V2 ein, der bis März 2024 für Websites, die Google-Dienste nutzen und Daten von Nutzern im Europäischen Wirtschaftsraum (EWR) erfassen, verpflichtend eingeführt werden muss. Diese Aktualisierung wurde speziell entwickelt, um mit dem EU-Gesetz über digitale Märkte (DMA) übereinzustimmen.
Der Zustimmungsmodus V2 führt zwei neue Parameter zusätzlich zu den ursprünglichen ein:
Im Gegensatz zu ad_storage und analytics_storage beeinflussen diese neuen Parameter nicht das Verhalten der Tags auf der Website selbst, sondern sind zusätzliche Parameter, die an die Google-Dienste gesendet werden, um anzugeben, wie die Nutzerdaten verwendet werden können.
Google Consent Mode V2 hat zwei Implementierungsmodi:
Es sei darauf hingewiesen, dass einige Datenschutzexperten Zweifel an der Vereinbarkeit des erweiterten Modus mit den Datenschutzbestimmungen geäußert haben, da es sich bei den "Pings" um personenbezogene Daten handeln könnte, die ohne Zustimmung verarbeitet werden.
Ohne den Google-Zustimmungsmodus können Werbeplattformen keine Daten über neue Nutzer aus dem EWR erfassen, was die Möglichkeiten zur Erhebung von Publikumsdaten, zur Messung der Wirksamkeit von Kampagnen und zur Umsetzung gezielter Werbestrategien erheblich einschränkt.
Mit dem Zustimmungsmodus V2 können Websites weiterhin grundlegende Analysedaten sammeln, auch wenn die Nutzer keine Zustimmung zu Cookies gegeben haben, und zwar durch fortschrittliche Modellierungstechniken, die die Zustimmungspräferenzen berücksichtigen.
.png)
Um all diese Vorschriften einzuhalten, verwenden Websites Zustimmungsmanagement-Plattformen (CMP), die Banner und Schnittstellen bereitstellen, um die Zustimmung der Nutzer einzuholen, sowie Mechanismen zur Einhaltung dieser Entscheidungen.
Das IAB spielt eine Schlüsselrolle bei der Zertifizierung von CMPs durch den TCF-Rahmen. Eine IAB TCF v2.2 zertifizierte CMP muss:
In den Jahren 2023-2024 führte Google spezielle Zertifizierungsanforderungen für CMPs ein, die Google Ads in der EU und im Vereinigten Königreich unterstützen wollen. Die wichtigste Anforderung ist die aktualisierte Einhaltung der IAB TCF. Von Google zertifizierte CMPs können Google Ads-Produkte verwenden und werden in eine offizielle Liste aufgenommen.
Eine Lösung, die speziell auf Websites ausgerichtet ist, die mit Webflow erstellt wurden, mit vollständiger Unterstützung für IAB TCF v2.2 und Google Consent Mode v2.
Vorteile:
Benachteiligungen:
Ideal für: Entwickler oder Agenturen, die mit Webflow arbeiten und die volle Kontrolle und ein individuelles Design wünschen.
Eine Plug-and-Play-Lösung, die aktualisiert wurde, um IAB TCF v2.2 und Google Consent Mode v2 zu unterstützen, jetzt mit Gold-Zertifizierung als Google CMP-Partner.
Vorteile:
Benachteiligungen:
Ideal für: kleine Websites oder Eigentümer, die sich schnell einarbeiten wollen.
Iubenda ist ein italienisches Unternehmen, das eine komplette Suite von Compliance-Tools anbietet, die vollständig aktualisiert wurden, um IAB TCF v2.2 und Google Consent Mode v2 zu unterstützen.
Vorteile:
Benachteiligungen:
Ideal für: Unternehmen, die eine professionelle und umfassende Lösung mit minimalem Wartungsaufwand suchen.
Eine der ersten populären SaaS-CMP-Lösungen, jetzt Teil der Usercentrics-Plattform.
Vorteile:
Benachteiligungen:
Ideal für: mittelgroße Websites und Unternehmen, die die Cookie-Verwaltung an die Automatisierung delegieren möchten.
Eine aufstrebende CMP, die eine Komplettlösung für die Integration mit Google Consent Mode V2 und IAB TCF v2.2 bietet.
Vorteile:
Benachteiligungen:
Ideal für: Unternehmen, die eine Lösung suchen, die sich auf die Integration mit Google Consent Mode V2 konzentriert.
Für große multinationale Organisationen gibt es Unternehmens-CMPs wie OneTrust, TrustArc, Didomi, Usercentrics, Osano, usw.
Vorteile:
Benachteiligungen:
Ideal für: große Unternehmen mit globaler Präsenz und komplexen Anforderungen an das Konsensmanagement.
Die Anpassung an die Cookie-/Datenschutzvorschriften erfordert sowohl ein rechtliches Verständnis der verschiedenen Vorschriften als auch die Umsetzung geeigneter technischer Lösungen.
In Europa gilt eine strenge Regelung für die vorherige Zustimmung, während in den USA die Opt-out-Regelung mit Transparenzverpflichtung vorherrscht, auch wenn sich die Gesetze der einzelnen Bundesstaaten allmählich zu strengeren Standards entwickeln und sich dem europäischen Modell annähern.
Tools wie Google Consent Mode V2 und IAB TCF v2.2/v2.3 helfen, die Kluft zwischen Marketing und Datenschutz zu überbrücken, indem sie Websites die Nutzung von Analyse- und Werbediensten unter Einhaltung der Cookie-Gesetze ermöglichen.
Die Wahl der Plattform für das Einwilligungsmanagement hängt von Faktoren wie der Größe der Website, den verfügbaren technischen Ressourcen, dem Budget und dem Bedarf an multinationaler Compliance ab. Wichtig ist, dass die Nutzer echte Kontrolle über ihre Daten haben und die Website transparent und im Einklang mit den geltenden Gesetzen betrieben werden kann.
Unternehmen, die sowohl in Europa als auch in den USA tätig sind, müssen sich weiterhin in einer komplexen und sich entwickelnden Regulierungslandschaft zurechtfinden und ihre Lösungen für das Einwilligungsmanagement an die verschiedenen Rechtsordnungen anpassen.
In Europa (GDPR und ePrivacy-Richtlinie) herrscht ein Opt-in-Modell vor: Die ausdrückliche Zustimmung der Nutzer muss eingeholt werden, bevor nicht wesentliche Cookies verwendet werden. Im Gegensatz dazu herrscht in den USA (CCPA/CPRA und andere bundesstaatliche Gesetze) ein Opt-out-Modell vor: Cookies können verwendet werden, bis der Nutzer ausdrücklich widerspricht, und die Unternehmen müssen eine klare Möglichkeit bieten, dem Verkauf/der Weitergabe von Daten zu widersprechen.
Nur "unbedingt notwendige" (oder "technische") Cookies können in Europa ohne Zustimmung verwendet werden. Dazu gehören Cookies, die für den Betrieb der Website unerlässlich sind, z. B. für die Authentifizierung, für die Speicherung von Artikeln in einem E-Commerce-Warenkorb oder für die Sicherheit der Website.
Google Consent Mode V2 ist eine Schnittstelle, die Google die von den Nutzern getroffenen Entscheidungen mitteilt. Sie führt vier Zustimmungsparameter ein (ad_storage, analytics_storage, ad_user_data, ad_personalisation), die das Verhalten von Google-Tags bestimmen. Sie ist wichtig, weil sie es Websites ermöglicht, Performance-Marketing-Messungen mit der Einhaltung von Datenschutzbestimmungen in Einklang zu bringen, und ist ab März 2024 für Websites, die Google-Dienste in Europa nutzen, verbindlich vorgeschrieben.
Die Wahl hängt von mehreren Faktoren ab: Größe der Website und Verkehrsaufkommen, verfügbares Budget, internes technisches Know-how, Plattform, auf der die Website aufgebaut ist (z. B. Webflow, WordPress), und spezifische Compliance-Anforderungen. Es ist auch wichtig zu prüfen, ob die CMP nach IAB TCF v2.2 zertifiziert ist und den Google Consent Mode V2 unterstützt, insbesondere wenn Google-Werbedienste genutzt werden.
In Europa, technisch gesehen, ja. Auch wenn die Website nur wesentliche Cookies verwendet, müssen die Nutzer darüber informiert werden, welche Cookies verwendet werden. In diesem Fall ist es jedoch nicht notwendig, um Zustimmung zu bitten, so dass das Banner zu einem informativen Hinweis vereinfacht werden kann, der keine Interaktion erfordert.
In Europa können Verstöße gegen die DSGVO zu Strafen von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro führen, je nachdem, welcher Betrag höher ist. In Kalifornien können Verstöße gegen das CCPA/CPRA zu zivilrechtlichen Strafen von bis zu 2.500 $ pro unbeabsichtigtem Verstoß und 7.500 $ pro absichtlichem Verstoß sowie zu möglichen Verbraucherprozessen führen. Die Aufsichtsbehörden sind bei der Durchsetzung aktiver geworden und haben in den letzten Jahren mehrere erhebliche Geldstrafen verhängt.
Nein, Google Consent Mode V2 ersetzt das Banner-Cookie nicht, sondern arbeitet mit ihm zusammen. Es ist nach wie vor ein System erforderlich, um die Zustimmung der Nutzer einzuholen (CMP), das dann die Präferenzen an Google Consent Mode übermittelt, um das Verhalten der Tags zu regeln.
Die beste Lösung besteht darin, ein System zu implementieren, das den geografischen Standort des Nutzers erkennt und die entsprechende Schnittstelle anzeigt: ein Opt-in-Banner für europäische Nutzer und ein Opt-out-Hinweis für US-Nutzer. Die fortschrittlichsten CMPs bieten diese Geotargeting-Funktionalität.
Das IAB Transparency & Consent Framework (TCF) ist ein Industriestandard, der Unternehmen bei der Verwaltung von Nutzerzustimmungen im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) unterstützt, insbesondere im Zusammenhang mit digitaler Werbung. Es bietet einen standardisierten Mechanismus für die Erfassung, Speicherung und Weitergabe von Nutzerzustimmungen zwischen Publishern, Werbetreibenden und Werbetechnologieanbietern. Die neueste Version, TCF v2.2, soll die Transparenz und Verantwortlichkeit verbessern und wurde als Reaktion auf die Vorgaben der Datenschutzbehörden entwickelt.
TCF v2.3, das sich derzeit bis Mai 2025 in der öffentlichen Konsultation befindet, zielt darauf ab, mehr Klarheit für Verkäufer in spezifischen Szenarien zu schaffen, in denen es unklar ist, ob Daten an den Nutzer weitergegeben wurden. Diese Unterscheidung ist besonders wichtig, wenn ein Verkäufer beabsichtigt, Daten zu besonderen Zwecken auf der Grundlage eines berechtigten Interesses zu verarbeiten. Die technischen Spezifikationen werden voraussichtlich bis Ende Mai 2025 fertiggestellt und sollen bis zum 1. Februar 2026 umgesetzt werden.
.svg)
.svg)
.svg)
.jpeg)
.png)
.jpeg)
